SamSam勒索软件攻击不断增长,勒索赎金也在不断提高

本文讲的是SamSam勒索软件攻击不断增长,勒索赎金也在不断提高,根据美国联邦调查局(FBI)的统计显示,2015年至2016年期间,美国报告的勒索软件攻击事件增加了三倍,支付的赎金也增至10亿美元。

其中,近半数的勒索软件攻击是从说服一名员工点击一封电子邮件开始的。有时网络犯罪分子会使用更复杂的方法。例如,“水坑攻击”是将勒索软件代码植入一个网站。用户访问该网站时,该代码就会被下载到他们的计算机上。

另一半攻击者以“暴力”方式锁定受害者:黑客搜索一个组织的软件漏洞、过于简单的密码,或其他未加密的数字信道。之后,勒索软件攻击者尝试给尽可能多的文件加密。

而SamSam就以给文件逐个加密以索要最高水平的赎金(通常是25个至30个比特币)而闻名,手动给成百上千个系统加密,这样它就能索要最多的比特币赎金。

大幅增加的SamSam勒索软件攻击数量以及赎金水平

AlienVault的研究人员观察到攻击者正在利用SamSam 勒索软件发起新一轮攻击,而这一次,攻击者会向受害者索要3.3万美元(约12比特币)的赎金来解密文件。根据研究显示,攻击者的要价如下所示:

1.7比特币(约4600美元)解锁单个设备;
6比特币(约16400美元)解锁一半设备;
12比特币(约32800美元)解锁所有设备;

通过手动妥协将恶意软件安装在脆弱的系统上,一旦该恶意软件感染一个设备,它就有能力感染到网络上的其他计算机设备。专家认为,由于勒索软件运营商不断创新运营模式,SamSam勒索软件的赎金水平也变得越来越高。去年,美国联邦调查局就发布了两个关于SamSam的警报。

美国联邦调查局发布的报告指出:

MSIL或Samas(SAMSAM)被用于破坏多个美国受害者的网络,其中包括,2016年利用 JetBoss(一款开源软件,用来测试 JBoss 服务器)入侵整个医院系统。起初,攻击者会通过JexBoss工具对JBoss服务器执行侦查,随后利用漏洞并安装SamSam。与其他勒索软件不同,SamSam包含一个通道,让攻击者可实时通过.onion网站与受害者通信。”

据AlienVault的研究人员介绍,SamSam勒索软件的攻击者正在使用以下技术来感染设备:

通过传统攻击获得远程访问,例如JBoss攻击;
 部署web-shells;
 通过HTTP隧道连接到RDP(远程桌面协议),如ReGeorg;
 运行批处理脚本以在设备上部署赎金;

 

据悉,SamSam勒索软件首次出现于一年多前,它是用C#语言编写的,一旦成功感染了一个设备,就可以对超过300种文件类型进行加密。最新发现的变体与以前的变体相比并没有变化,它利用函数encc.myff1和encc.EncryptFile进行加密。

一旦加密了文件,SamSam勒索软件就会删除原始文件。但是研究人员注意到,它并不会清理已删除的文件扇区,从而允许用户恢复他们的文件或其中部分文件。

研究人员注意到SamSam勒索软件攻击次数达到了一个高峰,其运营者在这段期间显得十分活跃。今年4月份,纽约的一家医院不幸感染了这种勒索软件,但是最终他们拒绝向攻击者支付其索要的44000美元赎金。

buffalonews.com表示,

SamSam主要通过服务器漏洞来渗透目标组织的计算机网络,它曾实施过多起攻击事件,其中包括去年美国马里兰州连锁医院MedStar遭遇的大型勒索软件攻击事件。当时攻击者要求MedStar在10天内支付45比特币(约1.9万美元,按当时的汇率)才会给予解锁密码。

专门负责分析与SamSam运营商相关的比特币交易的专家注意到,目前,攻击者已经从受害者那里收到了33,000美元赎金。AlienVault表示,“从攻击者角度来看,最近的攻击活动似乎是成功的,因为与本周攻击相关的比特币地址中已经收到了相当于3.3万美元的赎金。而且这个数字可能还会继续增长。”

随着数据成为我们的生命线,网络犯罪分子也提升了自己的水平和要求。就在五年前,东欧的攻击者给受害者的计算机加密,并索要100至400美元的赎金才给解密。

当时,在网上给犯罪分子支付赎金的方式还很新鲜,最重要的是,技术人员和网络安全专家能找到办法给计算机解锁,而不必支付赎金。据安全专家估计,2012年,不到3%的受害者支付了赎金。

如今,有半数的受害者拒绝支付赎金,因为他们有足够的备份,在观念上反对支付赎金,或者只是因为付不起。

据CrypsisGroup的研究人员称,现在的赎金要价最少是1个比特币(相当于约1700美元),最多30个比特币(相当于近5.1万美元),平均为4个比特币(相当于近7000美元)。

医疗卫生系统成为勒索软件多灾区 

最近,攻击者在医疗卫生系统找到了牟利市场,勒索软件攻击在这一领域所造成的情况更为紧急。例如,今年1月,一名黑客劫持了印第安纳州一个小型癌症慈善机构的计算机系统,移除了该组织主服务器和备份服务器上的数据,并索要50个比特币(相当于8.7万多美元)作为恢复数据的回报。而伦敦帝国学院国家卫生服务信托更是在12个月内被勒索软件攻击了19次。

而随着“勒索软件即服务”的日益流行,不仅是医疗卫生行业,全球各行业的组织机构都将面临勒索软件带来的新一轮冲击,你的防御真的做到位了吗?你准备好迎接挑战了吗?

原文发布时间为:2017年6月29日

本文作者:小二郎

本文来自合作伙伴嘶吼,了解相关信息可以关注嘶吼网站。

原文链接

时间: 2024-10-31 00:11:16

SamSam勒索软件攻击不断增长,勒索赎金也在不断提高的相关文章

CNNVD关于WannaCry勒索软件攻击事件的分析报告

本文讲的是CNNVD关于WannaCry勒索软件攻击事件的分析报告,北京时间2017年5月12日,一款名为"WannaCry"(也称WannaCrpt.WannaCrpt0r.Wcrypt.WCRY)的勒索软件在全球范围内爆发,造成极大影响. 针对本次攻击事件,国家信息安全漏洞库(CNNVD)进行了分析研究,情况如下: 一.网络攻击事件背景 此次爆发的"WannaCry"勒索软件来自"永恒之蓝"(EternalBlue),主要利用微软Window

CNNVD:关于WannaCry勒索软件攻击事件的分析报告

北京时间2017年5月12日,一款名为"Wanna Cry"(也称WannaCrpt.WannaCrpt0r.Wcrypt.WCRY)的勒索软件在全球范围内爆发,造成极大影响.针对本次攻击事件,国家信息安全漏洞库(CNNVD)进行了分析研究,情况如下: CNNVD:关于WannaCry勒索软件攻击事件的分析报告-E安全 一.网络攻击事件背景 此次爆发的"WannaCry"勒索软件来自"永恒之蓝"(EternalBlue),主要利用微软Window

亚信安全揭秘勒索软件攻击路径 并非所有企业都要“豪配”

如果我是一名"狡猾"的黑客,肯定也会选择中小企业用户发动攻击,因为他们往往不会像大型企业那样部署复杂.难以进攻的安全解决方案,而且与消费者相比,中小企业网络中的资料"更值钱",也更有能力支付赎金. 勒索软件入侵途径分析:"关门打狗"不适合 优选中小企业攻击,正是黑客选择攻击对象时的一种思路,也是通过网络安全人员"换位思考"之后得出的结论.当然,与个人用户相比,中小型企业还有更多的特点,比如:客户资料.投标文件.研发数据等,这些

面对勒索软件,除了交赎金,还能怎么办?

(阿里云安全 正禾) 就在11月28日,又一起勒索事件出现 -- 旧金山MUNI城市捷运系统受到勒索加密勒索软件攻击,所有的售票站点都显示出"你被攻击了,所有数据都被加密",攻击者发出公告索要100比特币,也就是70000多美元. 不管对个人网络用户和企业用户来说,是个越来越显严重的犯罪问题.受影响的客户包括中小企业的业务信息系统,甚至包括个人终端,移动设备.据美国FBI的一份报告显示,2016年,勒索软件的非法收入可能达到10亿美元.这一巨大的收入数字,很大一部分都是由企业缴纳的赎金

对抗勒索软件攻击 CryptoDrop系统亮相

近年来,勒索软件(Ransomware)已经成为不法黑客广泛使用的一种恶意攻击,在针对各大行业IT基础设施的攻击中屡屡得手,并有进一步增长的趋势.对此,来自美国维拉诺瓦大学(Villanova University)和佛罗里达大学(University of Florida)的4名研究人员在近期召开的IEEE分散式系统国际会议上,公布了一个能够对抗勒索软件攻击的防御系统--CryptoDrop. 对抗勒索软件攻击 CryptoDrop系统亮相 据悉,CryptoDrop系统可用来监控电脑上的数据

加密勒索软件攻击趋势分析

加密勒索事件仍会继续蔓延   2016年下半年,勒索软件成了企业安全的一个致命伤.卡巴斯基在2016年12月份发布的年度热门事件:加密勒索报告显示,截止到2016年,全球有114个国家受到加密勒索事件的影响,共发现44000多个勒索软件样本.亚信安全发布的勒索软件风险研究报告也显示,近十个月内,全球传播的勒索软件数量增长了15倍,中国勒索软件数量增长更是突破了67倍.   企业如遭到勒索,需要按照要求支付"赎金",否则文件将有可能永远无法打开.勒索软件欺诈金额巨大,且防范困难:通常,企

Petya勒索软件攻击预警更新:赛门铁克进一步解析Petya勒索软件

2017年6月27日,一个名为Petya的勒索软件开始大肆传播,导致多个国家的大型企业受到Petya勒索软件攻击的影响 图1. 企业受到攻击数量最多的国家(Top 20) 与WannaCry勒索病毒类似,Petya同样利用"永恒之蓝"漏洞进行传播.但除此之外,Petya还使用了传统SMB网络传播技术,这意味着即便企业已经安装"永恒之蓝"补丁,Petya依然能够在企业内部进行传播. 初始感染方式 赛门铁克已经证实,网络攻击者在最初Petya入侵企业网络的过程中,使用了

Hadoop集群遭遇勒索软件攻击 据称中国有8300多个Hadoop集群暴露在互联网上

继上周绿盟科技发布 ElasticSearch专项报告 以来,又监测到勒索软件正在攻击Hadoop集群,这再次表明黑客正在尝试从"大数据"中获利,绿盟科技给出的建议是关闭端口.启用安全认证机制.使用WVSS Web应用漏洞扫描等方式进行安全扫描.绿盟科技发布的专项报告全文如下: 勒索软件攻击Hadoop事件综述 最近,部分黑客组织针对几款特定产品展开了勒索攻击.截止到上周,已有至少34000多台MongoDB数据库被黑客组织入侵,数据库中的数据被黑客擦除并索要赎金.随后,在2017年1

【爆料】勒索软件攻击ElasticSearch专项报告 第一次看到NTI绿盟威胁情报中心数据细节

前两天,安全加报道 勒索软件盯上了大数据 Elasticsearch服务器遭受勒索软件攻击 中国境内1956个设备可能受影响,后面这个数字是由绿盟科技提供,其数字远超ZDNet给出的数据59台.今天绿盟科技发布了专项报告.报告全文如下: 勒索软件攻击ElasticSearch事件综述 上周,有超过34000多台存在安全风险的MongoDB数据库遭到了勒索攻击,数据库数据被攻击者擦除并索要赎金,在收到赎金后攻击者才会返还服务器中的数据:紧接着,2017年1月18日,在短短几个小时内又有数百台Ela